La software supply chain security è un argomento complesso e delicato, poiché richiede un approccio agnostico in un settore, quello dello sviluppo appunto, nel quale si ragiona spesso per partito preso. Ecco perché, quando si decide di affrontare in modo serio il tema della sicurezza nello sviluppo, occorre guardare ai numeri, ripassare qualche concetto annesso al mondo della programmazione e, solo a quel punto, pensare a strategie e rimedi. Niente di noioso, però: ci siamo messi all’opera per selezionare e condividere con voi le informazioni più essenziali e utili.
Software supply chain security: nessuno è intoccabile
A dipingere il quadro della situazione, nel campo della software supply chain security, è il più recente “State of Software Supply Chain” di Sonatype, un prezioso report che mette in luce le criticità dello sviluppo del software, in primis quelle legate alla sicurezza. Ed è proprio questo rapporto che rivela alcuni numeri preoccupanti.
Per esempio, un download ogni otto di software open source contiene delle vulnerabilità conosciute. Il 96% dei software open source con vulnerabilità, del resto, ha una versione aggiornata che corregge quei bug. Tutto sta nell’installarla da una parte, ma anche nel rilevare quei bug e porvi rimedio.
La punta dell’iceberg
Un compito difficile, se si pensa che solo nel 2023, sempre secondo “State of Software Supply Chain”, si sono scoperti circa 245.000 package malevoli, vale a dire il doppio del totale di quelli rilevati in tutti gli anni precedenti.
Va da sé che non si tratta certo di una crociata contro il software libero: l’open source è al centro di studi e report poiché, appunto, è l’unico che consente serie analisi di terze parti grazie alla peculiarità di avere codice aperto. Chissà, quindi, cosa si cela nel mondo del software chiuso, che oltre a basarsi, spesso, sull’open source, aggiunge tonnellate di codice revisionabile solo da chi lo sviluppa.
Log4Shell: un esempio concreto
Questo ci porta a una prima, spinosa, considerazione: che si tratti di codice open source, o chiuso, la revisione è un processo imprescindibile e sul quale andrebbero investite risorse pari a quelle impiegate per lo sviluppo. Non è un’esagerazione, se si considerano i costi che potrebbe avere un software rilasciato con gravi vulnerabilità.
Basti pensare al caso della libreria Log4j e la sua vulnerabilità Log4Shell, così grave da essere stata definita la “singola vulnerabilità più grossa e più critica dell’ultimo decennio ”. Artic Wolf Labs stima che il costo di incident response per ogni attacco basato sul solo Log4Shell superi i 90.000 dollari. Senza contare, tuttavia, che la vulnerabilità era al centro di attacchi ransomware di LockBit, Conti e Alphv/BlackCat, che hanno portato a perdite ancora più gravi .
Bug bounty program: la risposta migliore
Resta il fatto che la verifica del codice di qualità ha costi spesso insostenibili per buona parte delle software house e, d’altro canto, anche chi utilizza software ha l’esigenza di controllare la sua sicurezza in un contesto di assessment generale dei propri sistemi.
Una risposta unica ed efficace a queste esigenze è data dai bug bounty program. Si tratta di campagne che chiamano alle armi hacker etici pronti a studiare le applicazioni, a caccia dei loro bug e vulnerabilità. Si tratta di uno strumento efficace, che può analizzare anche un software proprietario con gli occhi di chi sarebbe in grado di sfruttarne le vulnerabilità.
Tutto in una piattaforma
Con un bug bounty program è possibile effettuare l’analisi di un’applicazione nella sua versione finale, che contenga in toto o in parte codice open source così come codice proprietario, concentrandosi su vulnerabilità che ne minano la sicurezza e che, quindi, sono appetibili per i criminali informatici.
Se da un lato un bug bounty program è un mezzo efficiente anche sul versante dei costi, dall’altro svilupparne uno è complesso e, senza esperienza e risorse adeguate, rischia di essere inutile o addirittura deleterio. Per questa ragione abbiamo sviluppato UNGUESS SECURITY : una piattaforma che mette in contatto una vasta community di hacker etici da noi selezionati e le aziende, per creare e gestire bug bounty program e altre attività legate alla verifica della sicurezza di sistemi informatici. Uno strumento per prendersi cura della software supply chain security e non pensare agli aspetti più critici di questo argomento. A quelli, ci pensiamo noi.